Naleving van privacywetgeving van de VS voor je website, app en bedrijf
Wetten van Amerikaanse staten leggen nieuwe wettelijke en technische verplichtingen op aan bedrijven. De naleving ervan kan ingewikkeld zijn. Onze oplossingen helpen je om compliance goed aan te pakken, en nemen je het zware technische en juridische werk uit handen. Zo kun jij je richten op je bedrijf.
Over het algemeen kunnen privacywetten in de VS, zoals de CPRA (voorheen CCPA) en de VCDPA op jou van toepassing zijn als je je richt op gebruikers die in de betreffende staten wonen en je bedrijf voldoet aan een van de onderstaande voorwaarden.
CPRA
VCDPA
CPA
CTDPA
UCPA
TDPSA
MTCDPA
OCPA
NJDPA
DPDPA
NHDPA
Nevada Privacy Law
NDPA
De California Privacy Rights Act (CPRA) bouwt voort op de bestaande bepalingen van de CCPA, breidt rechten van consumenten uit en voegt nieuwe eisen toe voor bedrijven die persoonsgegevens verwerken van inwoners van Californië. De wet is van toepassing op rechtspersonen die met een winstoogmerk zaken doen in Californië, die persoonlijke informatie van consumenten verwerken en voldoen aan een of meer van de volgende voorwaarden:
het bedrijf heeft een bruto-jaaromzet van meer dan 25 miljoen USD;
het bedrijf koopt, verkoopt of deelt jaarlijks de persoonlijke informatie van 100.000 of meer consumenten of huishoudens; of
het bedrijf behaalt minstens 50% van zijn jaaromzet uit het verkopen of delen* van de persoonlijke informatie van consumenten.
* Hieronder vallen ook integraties van derden op je website.
De Virginia Consumer Data Protection Act (VCDPA) is in maart 2021 aangenomen. Zo is Virginia na Californië de tweede staat in de Verenigde Staten geworden met een uitgebreide privacywet. De VCDPA trad op 1 januari 2023 in werking.
De wet is van toepassing op personen die zaken doen in Virginia of producten of diensten leveren die gericht zijn op inwoners van Virginia en aan een of meer van de volgende voorwaarden voldoen:
het bedrijf beheert of verwerkt jaarlijks de persoonsgegevens van ten minste 100.000 consumenten; of
het bedrijf beheert of verwerkt persoonsgegevens van ten minste 25.000 consumenten en behaalt meer dan 50% van de bruto-omzet uit de verkoop van persoonsgegevens.
De Colorado Privacy Act (CPA) is op 1 juli 2023 van kracht geworden en is bedoeld om de privacyrechten van inwoners van Colorado te beschermen door te reguleren hoe bedrijven persoonsgegevens verzamelen, verwerken en opslaan.
De wet is van toepassing op verwerkingsverantwoordelijken die zaken doen in Colorado of hun commerciële producten of diensten uitdrukkelijk richten op inwoners van Colorado en:
de persoonsgegevens van 100.000 consumenten of meer gedurende een kalenderjaar beheren of verwerken; of
inkomsten halen uit de verkoop van persoonsgegevens en de persoonsgegevens van 25.000 consumenten of meer verwerken of beheren.
De Connecticut Data Privacy Act (CTDPA) is op 1 juli 2023 van kracht geworden en verplicht je om consumenten te voorzien van duidelijke en zinvolle privacyverklaringen die onder andere informatie bevatten over de verwerking van persoonsgegevens, doeleinden, consumentenrechten en het delen met derden.
De wet is van toepassing op personen die zaken doen in Connecticut of producten of diensten aanbieden die gericht zijn op inwoners van Connecticut en die in het voorgaande kalenderjaar:
persoonsgegevens van minstens 100.000 consumenten hebben beheerd of verwerkt (met uitzondering van persoonsgegevens die uitsluitend worden beheerd of verwerkt om een betalingstransactie te voltooien); of
persoonsgegevens van minstens 25.000 consumenten hebben beheerd of verwerkt en meer dan 25% van hun bruto-inkomsten uit de verkoop van persoonsgegevens hebben gehaald.
De Utah Consumer Privacy Act (UCPA) is een nieuwe privacywet voor consumenten in Utah die van kracht werd op 31 december 2023. De UCPA benadert de privacy van consumenten op een bedrijfsvriendelijke manier. De UCPA is bedoeld om een werkbare norm te bieden voor bedrijven en tegelijkertijd de gegarandeerde rechten van consumenten in Utah te beschermen.
De wet is van toepassing op elke organisatie die:
zaken doet in Utah; of
een product of dienst produceert die gericht is op consumenten die in Utah wonen;
een jaaromzet heeft van $25.000.000 of meer; en
voldoet aan een of meer van de volgende drempels:
gedurende een kalenderjaar beheren of verwerken van persoonsgegevens van 100.000 of meer consumenten; of
meer dan 50% van de bruto-inkomsten van de entiteit komen uit de verkoop van persoonsgegevens en deze beheert of verwerkt persoonsgegevens ten minste 25.000 consumenten.
De Texas Data Privacy and Security Act (TDPSA), ook bekend als H.B. 4, werd op 18 juni door gouverneur Greg Abbott ondertekend en werd van kracht op 1 juli 2024.
De wet is van toepassing op:
bedrijven met activiteiten in Texas;
die producten of diensten produceren voor inwoners van Texas;
die persoonsgegevens verwerken of verkopen; en
die niet voldoen aan de definitie van kleinbedrijf volgens de richtlijnen van de Amerikaanse Small Business Administration.
De Montana Consumer Data Privacy Act (MTCDPA) is op 1 oktober 2024 van kracht geworden. Deze wetgeving is erop gericht om inwoners van Montana meer controle te geven over hun persoonsgegevens en hun privacy te waarborgen in een snel evoluerende digitale wereld.
De wet is van toepassing op bedrijven die actief zijn in Montana of die zich richten op de inwoners van Montana en die voldoen aan een van de volgende criteria:
Persoonsgegevens van ten minste 50.000 consumenten (met uitzondering van gegevens over betalingstransacties) beheren of verwerken, of
Gegevens beheren of verwerken van ten minste 25.000 consumenten en meer dan 25% van hun bruto-inkomsten verdienen met de verkoop van persoonsgegevens.
Non-profitorganisaties en bepaalde andere entiteiten zijn vrijgesteld van deze wet.
De Oregon Consumer Privacy Act (OCPA) werd op 18 juli 2023 door gouverneur Tina Kotek ondertekend en trad op 1 juli 2024 in werking. Deze wet is bedoeld om de privacyrechten van inwoners van Oregon te verbeteren.
De OCPA is van toepassing op bedrijven die actief zijn in Oregon of die producten of diensten leveren aan inwoners van Oregon die:
Persoonsgegevens beheren of verwerken van 100.000 of meer consumenten uit Oregon, of
Persoonsgegevens van 25.000 of meer consumenten uit Oregon beheren of verwerken en 25% van hun jaarinkomsten halen uit de verkoop van deze gegevens.
Bedrijven zonder winstoogmerk hebben een extra jaar, tot 1 juli 2025, om aan deze wet te voldoen.
De New Jersey Data Protection Act (NJDPA) heeft als doel de privacyrechten van inwoners van New Jersey te verbeteren door te regelen hoe bedrijven persoonsgegevens mogen verzamelen, gebruiken en beheren.
De wet is van toepassing op entiteiten die:
zaken doen in New Jersey; of
producten of diensten leveren die gericht zijn op inwoners van New Jersey, en:
de persoonsgegevens van 100.000 of meer consumenten beheren of verwerken; of
Meer dan 50% van hun bruto-inkomsten halen uit de verkoop van persoonsgegevens.
De Delaware Personal Data Privacy Act (DPDPA) verplicht bedrijven om duidelijke gegevensverwerkingspraktijken te implementeren en geeft inwoners van Delaware rechten ten aanzien van hun persoonsgegevens.
De wet is van toepassing op elke entiteit die:
zaken doet in Delaware; of
producten of diensten aanbiedt die gericht zijn op inwoners van Delaware, en:
de persoonsgegevens van minstens 100.000 inwoners van Delaware beheert of verwerkt; of
meer dan 50% van zijn bruto inkomsten haalt uit de verkoop van persoonsgegevens en de persoonsgegevens van minstens 25.000 inwoners van Delaware beheert of verwerkt.
De New Hampshire Data Protection Act (NHPA) dwingt strikte privacybescherming af voor inwoners van New Hampshire en beschrijft de verantwoordelijkheden van bedrijven met betrekking tot de verwerking van persoonsgegevens.
De wet is van toepassing op elke entiteit die:
zaken doet in New Hampshire; of
zijn producten of diensten richt op inwoners van New Hampshire, en:
in het voorafgaande kalenderjaar de persoonsgegevens van ten minste 100.000 consumenten beheert of verwerkt; of
meer dan 50% van zijn inkomsten haalt uit de verkoop van persoonsgegevens en de persoonsgegevens van ten minste 25.000 consumenten verwerkt.
De privacywet van Nevada biedt belangrijke consumentenbescherming voor inwoners van Nevada met betrekking tot de manier waarop hun persoonsgegevens door bedrijven worden verwerkt.
De wet is van toepassing op elke entiteit die:
zaken doet in Nevada; of
producten of diensten aanbiedt aan inwoners van Nevada, en:
gedurende een kalenderjaar de persoonsgegevens van 100.000 of meer consumenten beheert of verwerkt; of
meer dan 50% van zijn inkomsten haalt uit de verkoop van persoonsgegevens en de persoonsgegevens van ten minste 25.000 consumenten verwerkt.
De Nebraska Data Privacy Act (NDPA) is bedoeld om consumenten in Nebraska het recht te geven op zeggenschap over hun persoonsgegevens en ervoor te zorgen dat bedrijven zich houden aan transparantie en verantwoording bij de verwerking van gegevens.
De wet is van toepassing op elke entiteit die:
zaken doet in Nebraska; of
producten of diensten levert die gericht zijn op inwoners van Nebraska, en:
in het voorafgaande kalenderjaar persoonsgegevens van ten minste 100.000 consumenten beheert of verwerkt; of
meer dan 50% van zijn inkomsten haalt uit de verkoop van persoonsgegevens en de persoonsgegevens verwerkt van minstens 25.000 consumenten.
CPRA
De California Privacy Rights Act (CPRA) bouwt voort op de bestaande bepalingen van de CCPA, breidt rechten van consumenten uit en voegt nieuwe eisen toe voor bedrijven die persoonsgegevens verwerken van inwoners van Californië. De wet is van toepassing op rechtspersonen die met een winstoogmerk zaken doen in Californië, die persoonlijke informatie van consumenten verwerken en voldoen aan een of meer van de volgende voorwaarden:
het bedrijf heeft een bruto-jaaromzet van meer dan 25 miljoen USD;
het bedrijf koopt, verkoopt of deelt jaarlijks de persoonlijke informatie van 100.000 of meer consumenten of huishoudens; of
het bedrijf behaalt minstens 50% van zijn jaaromzet uit het verkopen of delen* van de persoonlijke informatie van consumenten.
* Hieronder vallen ook integraties van derden op je website.
De Virginia Consumer Data Protection Act (VCDPA) is in maart 2021 aangenomen. Zo is Virginia na Californië de tweede staat in de Verenigde Staten geworden met een uitgebreide privacywet. De VCDPA trad op 1 januari 2023 in werking.
De wet is van toepassing op personen die zaken doen in Virginia of producten of diensten leveren die gericht zijn op inwoners van Virginia en aan een of meer van de volgende voorwaarden voldoen:
het bedrijf beheert of verwerkt jaarlijks de persoonsgegevens van ten minste 100.000 consumenten; of
het bedrijf beheert of verwerkt persoonsgegevens van ten minste 25.000 consumenten en behaalt meer dan 50% van de bruto-omzet uit de verkoop van persoonsgegevens.
CPA
De Colorado Privacy Act (CPA) is op 1 juli 2023 van kracht geworden en is bedoeld om de privacyrechten van inwoners van Colorado te beschermen door te reguleren hoe bedrijven persoonsgegevens verzamelen, verwerken en opslaan.
De wet is van toepassing op verwerkingsverantwoordelijken die zaken doen in Colorado of hun commerciële producten of diensten uitdrukkelijk richten op inwoners van Colorado en:
de persoonsgegevens van 100.000 consumenten of meer gedurende een kalenderjaar beheren of verwerken; of
inkomsten halen uit de verkoop van persoonsgegevens en de persoonsgegevens van 25.000 consumenten of meer verwerken of beheren.
CTDPA
De Connecticut Data Privacy Act (CTDPA) is op 1 juli 2023 van kracht geworden en verplicht je om consumenten te voorzien van duidelijke en zinvolle privacyverklaringen die onder andere informatie bevatten over de verwerking van persoonsgegevens, doeleinden, consumentenrechten en het delen met derden.
De wet is van toepassing op personen die zaken doen in Connecticut of producten of diensten aanbieden die gericht zijn op inwoners van Connecticut en die in het voorgaande kalenderjaar:
persoonsgegevens van minstens 100.000 consumenten hebben beheerd of verwerkt (met uitzondering van persoonsgegevens die uitsluitend worden beheerd of verwerkt om een betalingstransactie te voltooien); of
persoonsgegevens van minstens 25.000 consumenten hebben beheerd of verwerkt en meer dan 25% van hun bruto-inkomsten uit de verkoop van persoonsgegevens hebben gehaald.
UCPA
De Utah Consumer Privacy Act (UCPA) is een nieuwe privacywet voor consumenten in Utah die van kracht werd op 31 december 2023. De UCPA benadert de privacy van consumenten op een bedrijfsvriendelijke manier. De UCPA is bedoeld om een werkbare norm te bieden voor bedrijven en tegelijkertijd de gegarandeerde rechten van consumenten in Utah te beschermen.
De wet is van toepassing op elke organisatie die:
zaken doet in Utah; of
een product of dienst produceert die gericht is op consumenten die in Utah wonen;
een jaaromzet heeft van $25.000.000 of meer; en
voldoet aan een of meer van de volgende drempels:
gedurende een kalenderjaar beheren of verwerken van persoonsgegevens van 100.000 of meer consumenten; of
meer dan 50% van de bruto-inkomsten van de entiteit komen uit de verkoop van persoonsgegevens en deze beheert of verwerkt persoonsgegevens ten minste 25.000 consumenten.
TDPSA
De Texas Data Privacy and Security Act (TDPSA), ook bekend als H.B. 4, werd op 18 juni door gouverneur Greg Abbott ondertekend en werd van kracht op 1 juli 2024.
De wet is van toepassing op:
bedrijven met activiteiten in Texas;
die producten of diensten produceren voor inwoners van Texas;
die persoonsgegevens verwerken of verkopen; en
die niet voldoen aan de definitie van kleinbedrijf volgens de richtlijnen van de Amerikaanse Small Business Administration.
MTCDPA
De Montana Consumer Data Privacy Act (MTCDPA) is op 1 oktober 2024 van kracht geworden. Deze wetgeving is erop gericht om inwoners van Montana meer controle te geven over hun persoonsgegevens en hun privacy te waarborgen in een snel evoluerende digitale wereld.
De wet is van toepassing op bedrijven die actief zijn in Montana of die zich richten op de inwoners van Montana en die voldoen aan een van de volgende criteria:
Persoonsgegevens van ten minste 50.000 consumenten (met uitzondering van gegevens over betalingstransacties) beheren of verwerken, of
Gegevens beheren of verwerken van ten minste 25.000 consumenten en meer dan 25% van hun bruto-inkomsten verdienen met de verkoop van persoonsgegevens.
Non-profitorganisaties en bepaalde andere entiteiten zijn vrijgesteld van deze wet.
NJDPA
De New Jersey Data Protection Act (NJDPA) heeft als doel de privacyrechten van inwoners van New Jersey te verbeteren door te regelen hoe bedrijven persoonsgegevens mogen verzamelen, gebruiken en beheren.
De wet is van toepassing op entiteiten die:
zaken doen in New Jersey; of
producten of diensten leveren die gericht zijn op inwoners van New Jersey, en:
de persoonsgegevens van 100.000 of meer consumenten beheren of verwerken; of
Meer dan 50% van hun bruto-inkomsten halen uit de verkoop van persoonsgegevens.
DPDPA
De Delaware Personal Data Privacy Act (DPDPA) verplicht bedrijven om duidelijke gegevensverwerkingspraktijken te implementeren en geeft inwoners van Delaware rechten ten aanzien van hun persoonsgegevens.
De wet is van toepassing op elke entiteit die:
zaken doet in Delaware; of
producten of diensten aanbiedt die gericht zijn op inwoners van Delaware, en:
de persoonsgegevens van minstens 100.000 inwoners van Delaware beheert of verwerkt; of
meer dan 50% van zijn bruto inkomsten haalt uit de verkoop van persoonsgegevens en de persoonsgegevens van minstens 25.000 inwoners van Delaware beheert of verwerkt.
NHDPA
De New Hampshire Data Protection Act (NHPA) dwingt strikte privacybescherming af voor inwoners van New Hampshire en beschrijft de verantwoordelijkheden van bedrijven met betrekking tot de verwerking van persoonsgegevens.
De wet is van toepassing op elke entiteit die:
zaken doet in New Hampshire; of
zijn producten of diensten richt op inwoners van New Hampshire, en:
in het voorafgaande kalenderjaar de persoonsgegevens van ten minste 100.000 consumenten beheert of verwerkt; of
meer dan 50% van zijn inkomsten haalt uit de verkoop van persoonsgegevens en de persoonsgegevens van ten minste 25.000 consumenten verwerkt.
Nevada Privacy Law
De privacywet van Nevada biedt belangrijke consumentenbescherming voor inwoners van Nevada met betrekking tot de manier waarop hun persoonsgegevens door bedrijven worden verwerkt.
De wet is van toepassing op elke entiteit die:
zaken doet in Nevada; of
producten of diensten aanbiedt aan inwoners van Nevada, en:
gedurende een kalenderjaar de persoonsgegevens van 100.000 of meer consumenten beheert of verwerkt; of
meer dan 50% van zijn inkomsten haalt uit de verkoop van persoonsgegevens en de persoonsgegevens van ten minste 25.000 consumenten verwerkt.
NDPA
De Nebraska Data Privacy Act (NDPA) is bedoeld om consumenten in Nebraska het recht te geven op zeggenschap over hun persoonsgegevens en ervoor te zorgen dat bedrijven zich houden aan transparantie en verantwoording bij de verwerking van gegevens.
De wet is van toepassing op elke entiteit die:
zaken doet in Nebraska; of
producten of diensten levert die gericht zijn op inwoners van Nebraska, en:
in het voorafgaande kalenderjaar persoonsgegevens van ten minste 100.000 consumenten beheert of verwerkt; of
meer dan 50% van zijn inkomsten haalt uit de verkoop van persoonsgegevens en de persoonsgegevens verwerkt van minstens 25.000 consumenten.
Tijdlijn voor wetgeving van Amerikaanse staten
California Consumer Privacy Act (CCPA)
De California Consumer Privacy Act (CCPA), wordt met een respijtperiode van 6 maanden van kracht vanaf.
California Consumer Privacy Act (CCPA)
Naleving van de CCPA wordt actief gecontroleerd en gehandhaafd door de procureur-generaal, die kennisgevingen van niet-naleving uitvaardigt en ook boetes oplegt als de overtredingen aanhouden na een herstelperiode van 30 dagen.
California Privacy Rights Act (CPRA)
Start van CPRA-controleperiode van 12 maanden. Bedrijven moeten nu de persoonlijke informatie die is verzameld en verwerkt gedurende een periode van 12 maanden voorafgaand aan het verzoek van een consument kunnen documenteren.
California Privacy Rights Act (CPRA)
De California Privacy Rights Act (CPRA) wijzigt de CCPA en is in werking getreden. De herstelperiode van 30 dagen is niet langer van toepassing.
Om te voldoen aan de CPRA moet je mogelijk de volgende stappen nemen:
De Virginia Consumer Data Protection Act (VCDPA) treedt in werking en wordt gehandhaafd.
Om te voldoen aan de VCDPA moet je mogelijk de volgende stappen nemen:
De specifieke stappen om hieraan te voldoen zijn afhankelijk van de aard van je bedrijf, het soort persoonlijke informatie dat je verzamelt en verwerkt en andere factoren.
De California Privacy Rights Act (CPRA) wordt gehandhaafd.
De CPRA wordt nu actief gecontroleerd en gehandhaafd door het Privacy Protection Agency (CPPA) in Californië, waarbij boetes of sancties worden opgelegd voor niet-naleving.
Houd er rekening mee dat als gevolg van de beslissing van het Hooggerechtshof van Sacramento County, de handhaving van de definitieve regels die zijn uitgevaardigd door de California Privacy Protection Agency zijn uitgesteld tot 29 maart 2024. De beslissing heeft echter geen invloed op de wettelijke bepalingen van de CPRA, die vanaf 1 juli 2023 worden gehandhaafd.
Colorado Privacy Act (CPA)
De Colorado Privacy Act (CPA) treedt in werking.
Om te voldoen aan de CPA moet je mogelijk de volgende stappen nemen:
De Connecticut Data Privacy Act (CTDPA) treedt in werking.
Om te voldoen aan de CTDPA moet je mogelijk de volgende stappen nemen:
Kijk hier voor meer informatie over hoe je hieraan kunt voldoen.
Utah Consumer Privacy Act (UCPA)
De Utah Consumer Privacy Act (UCPA) treedt in werking.
Om te voldoen aan de UCPA moet je mogelijk de volgende stappen nemen:
Kijk hier voor meer informatie over hoe je hieraan kunt voldoen.
Colorado Privacy Act (CPA)
Het in de Colorado Privacy Act opgenomen vereiste om te voldoen aan afmeldverzoeken van consumenten door een universeel opt-outmechanisme is nu van kracht.
Oregon Consumer Privacy Act (OCPA)
De Oregon Consumer Privacy Act (OCPA) is inmiddels van kracht
Let op: bedrijven zonder winstoogmerk hebben een jaar extra, tot 1 juli 2025, om aan deze wet te voldoen.
Texas Data Privacy and Security Act (TDPSA)
De Texas Data Privacy and Security Act (TDPSA) is inmiddels van kracht.
Montana Consumer Data Privacy Act (MTCDPA)
De Montana Consumer Data Privacy Act (MTCDPA) is inmiddels van kracht.
Houd er rekening mee dat non-profitorganisaties en bepaalde andere entiteiten zijn vrijgesteld van de verplichtingen uit deze wet.
Montana Consumer Data Privacy Act (MTCDPA)
De Montana Consumer Data Privacy Act verplicht bedrijven nu om universele opt-out-signalen van consumenten die de verkoop van hun persoonsgegevens of gerichte advertenties weigeren, te herkennen en te honoreren.
Utah Consumer Privacy Act (UCPA)
De handhaving begint.
Oregon Consumer Privacy Act (OCPA)
De handhaving begint.
Belangrijkste deadline: Bedrijven moeten voldoen aan verzoeken om consumentenrechten uit te oefenen en andere vereisten van de OCPA.
Texas Data Privacy and Security Act (TDPSA)
De handhaving begint.
Belangrijkste deadline: Bedrijven moeten beginnen met het implementeren van maatregelen voor het uitoefenen van consumentenrechten en gegevensbeveiliging volgens de TDPSA.
Montana Consumer Data Privacy Act (MTCDPA)
De handhaving begint.
Belangrijkste deadline: Bedrijven moeten ervoor zorgen dat ze voldoen aan de verplichtingen ten aanzien van consumentenrechten en gegevensverwerking van de MTCDPA.
Iowa Consumer Data Privacy Act (ICDPA)
De handhaving begint.
Belangrijkste deadline: Bedrijven moeten voldoen aan de nieuwe eisen voor privacyrechten volgens de wetgeving van Iowa.
Oregon Consumer Privacy Act (OCPA)
De Oregon Consumer Privacy Act vereist nu dat bedrijven Global Privacy Control-signalen herkennen van browsers zoals Chrome, waarmee gebruikers zich kunnen afmelden voor de verkoop van gegevens of gerichte advertenties.
New Jersey Data Protection Act (NJDPA)
De handhaving begint.
New Hampshire Data Protection Act (NHDPA)
De handhaving begint.
Delaware Personal Data Privacy Act (DPDPA)
De handhaving begint.
Privacywet Nevada
De handhaving begint.
Belangrijkste deadline: Bedrijven moeten voldoen aan de bepalingen voor consumentenrechten en gegevensbeveiliging in de herziene privacywet van Nevada.
Nebraska Data Privacy Act (NDPA)
De handhaving begint.
Belangrijkste deadline: Bedrijven moeten voldoen aan alle nalevingstermijnen van de wetgeving van Nebraska.
Wat is er nodig om te voldoen aan de wetten in de VS?
Omdat de regelgeving per staat enigszins verschilt, kan het bijhouden van alle regels een hele klus zijn. De slimme oplossingen van iubenda passen de meest robuuste normen toe om je te helpen met minimale inspanning aan alle wetgeving te voldoen. Je hoeft alleen maar Wetgeving van Amerikaanse staten te selecteren in je generator om te voldoen aan de meeste wetgeving in de gehele VS
Uitgebreide informatie via een privacybeleid
Verplichtingen in de VS
Bedrijven moeten specifieke informatie opnemen in hun privacybeleid. Deze informatie beschrijft de rechten waarover consumenten beschikken, verwerkingspartners, doeleinden, bronnen en meer De informatie moet volledig en actueel zijn en moet gemakkelijk kunnen worden geraadpleegd via je website of app.
Een beleid dat niet de juiste informatie bevat, is ongeldig
Je beleid voldoet pas aan de regels als het minimaal de volgende informatie bevat:
Vermeld de categorieën persoonlijke informatie die je bedrijf in de afgelopen 12 maanden heeft verkocht aan of gedeeld met derden, een lijst van relevante derden en het doel van je bedrijf. Je moet het ook aangeven als je in de afgelopen 12 maanden geen persoonlijke informatie van gebruikers hebt verkocht of gedeeld.
Voeg een verklaring toe met betrekking tot de vraag of je bedrijf al dan niet bewust de persoonlijke informatie van gebruikers jonger dan 16 jaar verkoopt of deelt.
Vermeld de categorieën persoonlijke informatie die je bedrijf in de afgelopen 12 maanden (voor zakelijke doeleinden) aan derden heeft verstrekt, een lijst met relevante derden en het doel van je bedrijf. Je moet het ook aangeven als je in de voorgaande 12 maanden geen persoonlijke informatie van consumenten hebt verstrekt.
Geef aan of je bedrijf wel of niet gevoelige persoonlijke informatie gebruikt of openbaar maakt voor andere dan de in de wet genoemde doeleinden.
Vermeld links naar online aanvraagformulieren of portals zodat je gebruikers een verzoek kunnen indienen met betrekking tot het verzamelen, bekendmaken of verkopen van hun persoonlijke informatie.
Vermeld de categorieën persoonsgegevens die door je organisatie worden verwerkt.
Vermeld het doel van je organisatie voor het verwerken van persoonsgegevens.
Informeer je gebruikers over hoe ze hun rechten kunnen uitoefenen (zie hieronder), inclusief hoe ze in beroep kunnen gaan tegen een beslissing over hun verzoeken. Je moet een of meer methoden bieden waarmee gebruikers een verzoek kunnen indienen.
Vermeld de eventuele categorieën persoonsgegevens die je organisatie deelt met derden.
Vermeld de categorieën van derden, indien van toepassing, waarmee je organisatie persoonsgegevens deelt.
Specifiek vereist de CPA dat je een privacyverklaring verstrekt die de volgende informatie bevat:
Categorieën van verzamelde of verwerkte persoonsgegevens.
Doeleinden waarvoor de categorieën van persoonsgegevens worden verwerkt.
Hoe en waar consumenten hun rechten kunnen uitoefenen, inclusief contactgegevens en hoe ze in beroep kunnen gaan tegen een reactie van een verwerkingsverantwoordelijke met betrekking tot een verzoek van een consument.
Categorieën van persoonsgegevens die worden gedeeld met derden, indien van toepassing;
Categorieën van derden met wie de persoonsgegevens worden gedeeld, indien van toepassing.
De nieuwe privacywet van Connecticut vereist dat je consumenten voorziet van een duidelijke en zinvolle privacyverklaring die redelijk toegankelijk is. Hier is een checklist van wat er in je privacybeleid moet staan om aan de nieuwe wet te voldoen:
Categorieën van persoonsgegevens: Je privacybeleid moet een lijst bevatten van de categorieën persoonsgegevens die je verwerkt.
Doeleinden voor verwerking: Je privacybeleid moet duidelijk de doeleinden voor het verwerken van persoonsgegevens vermelden. Dit omvat elke reden waarom je persoonsgegevens verzamelt en gebruikt, zoals om een overeenkomst uit te voeren of een dienst te verlenen.
Consumentenrechten: Je privacybeleid moet uitleggen hoe consumenten hun wettelijke rechten kunnen uitoefenen. Dit omvat hoe een consument toegang kan krijgen tot zijn persoonsgegevens en hoe hij deze kan corrigeren, verwijderen of de verwerking ervan kan beperken. Je moet ook informatie geven over hoe een consument in beroep kan gaan tegen een beslissing over zijn verzoek.
Delen met derden: Als je persoonsgegevens deelt met derden, moet je in je privacybeleid aangeven welke categorieën persoonsgegevens je deelt.
Categorieën van derden: In je privacybeleid moet je ook aangeven met welke categorieën derden je persoonsgegevens deelt.
Contactgegevens: Je privacybeleid moet een actief e-mailadres of ander online mechanisme bevatten dat consumenten kunnen gebruiken om contact met je op te nemen met vragen of zorgen over hun persoonsgegevens.
Verkoop of gerichte advertenties: Als je persoonsgegevens verwerkt met het oog op verkoop of gericht adverteren, moet je dit duidelijk en opvallend vermelden in je privacybeleid. Je moet ook informatie geven over hoe consumenten hun recht kunnen uitoefenen om zich af te melden van deze verwerking.
Als je onder de Utah Consumer Privacy Act (UCPA) valt, moet je een privacybeleid opstellen dat redelijk toegankelijk en duidelijk is voor consumenten. Je privacybeleid moet het volgende bevatten:
Categorieën van verwerkte persoonsgegevens: Identificeer de soorten persoonsgegevens die je organisatie verzamelt en verwerkt, zoals namen, e-mailadressen en betalingsgegevens.
Doeleinden voor het verwerken van persoonsgegevens: Beschrijf de redenen waarom je organisatie persoonsgegevens verzamelt en verwerkt, bijvoorbeeld om bestellingen uit te voeren, klantenondersteuning te bieden of producten of diensten te verbeteren.
Consumentenrechten: Leg uit hoe consumenten hun rechten kunnen uitoefenen, zoals het recht op inzage en verwijdering van hun persoonsgegevens. Houd er rekening mee dat de UCPA consumenten niet het recht geeft om correctie van onjuiste persoonsgegevens te vragen.
Delen van persoonsgegevens: Meld welke categorieën persoonsgegevens je organisatie eventueel deelt met derden. Je kunt bijvoorbeeld betalingsgegevens delen met een betalingsverwerker of postadressen met een transportbedrijf.
Derden: Geef aan met welke categorieën derden je organisatie eventueel persoonsgegevens deelt. Dit kunnen bijvoorbeeld leveranciers, dienstverleners of marketingpartners zijn.
De Texas Data Privacy and Security Act vereist dat verwerkingsverantwoordelijken een redelijk toegankelijke en duidelijke privacyverklaring aan consumenten verstrekken, waarin onder andere het volgende wordt beschreven:
de categorieën van persoonsgegevens, inclusief gevoelige gegevens, indien van toepassing, die worden verwerkt en de doeleinden van de verwerking;
de manier waarop consumenten hun rechten kunnen uitoefenen; en
de categorieën persoonsgegevens die worden gedeeld met derden en de categorieën derden met wie de informatie wordt gedeeld.
Als verwerkingsverantwoordelijken gevoelige gegevens verkopen, zijn ze verplicht om consumenten op passende wijze te informeren.
Voor bepaalde soorten gegevensverwerking moeten de verwerkingsverantwoordelijken gegevensbeschermingsbeoordelingen uitvoeren.
Verstrekken van een duidelijke privacyverklaring:
de categorieën van verwerkte persoonsgegevens;
verwerkingsdoeleinden;
praktijken voor het delen van gegevens;
contactgegevens; en
de manier waarop de rechten van consumenten kunnen worden uitgeoefend.
De OCDPA verplicht verwerkingsverantwoordelijken om consumenten een duidelijke, toegankelijke en zinvolle privacyverklaring te verstrekken. Deze verklaring moet het volgende bevatten:
De categorieën persoonsgegevens (waaronder gevoelige gegevens) die door de verwerkingsverantwoordelijke worden verwerkt en de doeleinden van de verwerking.
De categorieën persoonsgegevens die met derden worden gedeeld en de identiteit van deze derden.
Details van alle verwerkingsactiviteiten met betrekking tot gerichte advertenties.
Instructies over hoe consumenten contact kunnen opnemen met de verwerkingsverantwoordelijke en hun privacyrechten kunnen uitoefenen, waaronder de beroepsprocedure.
De New Jersey Data Protection Act (NJDPA) verplicht bedrijven om een privacyverklaring te verstrekken die de volgende belangrijke informatie bevat:
Categorieën van verzamelde persoonsgegevens: Beschrijf in je privacybeleid welke soorten persoonsgegevens je verzamelt of verwerkt (bijv. namen, contactgegevens en betalingsgegevens).
Doeleinden voor verwerking: Geef duidelijk de gronden aan voor het verwerken van persoonsgegevens, zoals het uitvoeren van bestellingen, het leveren van diensten of marketing.
Consumentenrechten: Leg uit hoe consumenten hun rechten onder de NJDPA kunnen uitoefenen, waaronder hoe ze hun persoonsgegevens kunnen inzien, corrigeren of verwijderen en hoe ze zich kunnen afmelden voor de verkoop van hun persoonsgegevens of de verwerking voor gerichte advertenties.
Delen met derden: Geef gedetailleerd de categorieën van persoonsgegevens aan die worden gedeeld met derden, indien van toepassing.
Categorieën van derden: Geef aan met welke soorten derden je persoonsgegevens deelt, zoals dienstverleners, marketingpartners of verkopers.
De Delaware Personal Data Privacy Act (DPDPA) vereist dat je privacyverklaring het volgende bevat:
Categorieën van verzamelde persoonsgegevens: Vermeld de categorieën persoonsgegevens die je verwerkt (bijv. namen, contactgegevens en betalingsgegevens).
Doeleinden voor verwerking: Vermeld duidelijk de doeleinden voor het verwerken van de gegevens, waaronder het uitvoeren van overeenkomsten of het leveren van diensten.
Consumentenrechten: Leg uit hoe consumenten hun rechten onder de DPDPA kunnen uitoefenen, zoals het inzien, verwijderen of beperken van hun persoonsgegevens. Geef ook informatie over hoe consumenten zich kunnen afmelden voor de verkoop van hun gegevens of verwerking voor gerichte advertenties.
Delen met derden: Maak bekend welke categorieën persoonsgegevens je eventueel deelt met derden.
Categorieën van derden: Identificeer de derden met wie je persoonsgegevens deelt, zoals analyseproviders, dienstverleners of zakelijke partners.
Volgens de New Hampshire Data Protection Act (NHDPA) moet je privacybeleid het volgende bevatten:
Categorieën van verzamelde persoonsgegevens: Geef aan welke soorten persoonsgegevens je verzamelt, zoals namen, e-mailadressen of betalingsgegevens.
Doeleinden voor verwerking: Beschrijf waarom je persoonsgegevens verzamelt en verwerkt, zoals voor de uitvoering van overeenkomsten, dienstverlening of marketing.
Consumentenrechten: Informeer consumenten over hun rechten op inzage, correctie of verwijdering van hun persoonsgegevens en hoe ze deze rechten kunnen uitoefenen onder de wet van New Hampshire. Neem informatie op over opt-out voor de verkoop van gegevens of verwerking voor gerichte advertenties.
Delen met derden: Je beleid moet aangeven welke categorieën persoonsgegevens worden gedeeld met derden.
Categorieën van derden: Identificeer de categorieën derden met wie je persoonsgegevens deelt, zoals dienstverleners, zakelijke partners of marketingbureaus.
De privacywet van Nevada verplicht bedrijven om de volgende informatie op te nemen in hun privacybeleid:
Categorieën van verzamelde persoonsgegevens: Specificeer de soorten persoonsgegevens die je verzamelt (bijv. contactgegevens, online identifiers).
Doeleinden voor verwerking: Vermeld de redenen waarom je persoonsgegevens verzamelt en verwerkt, zoals dienstverlening, uitvoering van overeenkomsten of marketing.
Consumentenrechten: Leg uit hoe consumenten hun recht kunnen uitoefenen op een opt-out van de verkoop van hun persoonsgegevens.
Delen met derden: Geef aan welke persoonsgegevens eventueel met derden worden gedeeld.
Categorieën van derden: Maak een lijst van de derden waarmee je persoonsgegevens deelt, zoals betalingsverwerkers, dienstverleners of advertentiepartners.
De Nebraska Data Privacy Act vereist dat je privacybeleid het volgende bevat:
Categorieën van verzamelde persoonsgegevens: Identificeer de categorieën persoonsgegevens die je verwerkt (bijv. contactgegevens, financiële gegevens).
Doeleinden voor verwerking: Beschrijf de gronden voor het verwerken van persoonsgegevens, zoals het uitvoeren van overeenkomsten, het leveren van diensten of het uitvoeren van marketingactiviteiten.
Consumentenrechten: Leg uit hoe consumenten hun rechten onder de NDPA kunnen uitoefenen, zoals het inzien, verwijderen of beperken van de verwerking van hun persoonsgegevens en de opt-out voor verkoop van gegevens of gerichte advertenties.
Delen met derden: Je privacybeleid moet alle persoonsgegevens bekendmaken die met derden worden gedeeld.
Categorieën van derden: Identificeer de soorten derden met wie je persoonsgegevens deelt, zoals leveranciers, dienstverleners of zakenpartners.
Schrijf in een handomdraai je privacy- en cookiebeleid uit.
Kies uit meer dan 2000 bepalingen in tot 27 talen, die automatisch worden bijgewerkt wanneer wetgeving wijzigt. Met onze generator kun je in een paar minuten een juridisch verantwoord document opstellen en deze gemakkelijk integreren met je website of app.
Overeenkomstig de CPRA (CCPA-wijziging) moet je voor of bij het verzamelen een melding laten zien waarin consumenten informatie krijgen over de categorieën persoonlijke informatie die wordt verzameld, en voor welk doel dit gebeurt. Consumenten moeten zich ook kunnen afmelden voor deze verwerking. Als bedrijf ben je daarom verantwoordelijk voor het informeren van consumenten over deze optie en het verstrekken van de feitelijke middelen voor opt-out.
In het bijzonder moet je:
Detecteren of een consument al dan niet in Californië woont en of hij je website al eerder heeft bezocht
Opt-out verzoeken vergemakkelijken via een DNSMPI-link
Relevante derden opdracht geven om te stoppen met het verwerken van de informatie van de consument wanneer een opt-out verzoek wordt ontvangen.
Bij het eerste bezoek aan de site een melding weergeven met de benodigde informatie
Wij wijzen je erop dat er op grond van de VCDPA geen aanwijzingen zijn dat opt-out-links waarmee gebruikers zich kunnen afmelden voor de verwerking van persoonsgegevens voor bepaalde doeleinden verplicht zijn.
De bepalingen van de VCDPA behandelen het opt-out-recht van gebruikers in feite op dezelfde manier als alle andere gebruikersrechten die op grond van deze wet worden verleend.
Je bedrijf moet als volgt voldoen aan de verzoeken van gebruikers:
Je moet binnen 45 dagen aan het verzoek voldoen. De reactietermijn kan eenmalig worden verlengd met 45 extra dagen wanneer dit redelijkerwijs noodzakelijk is, zolang je de gebruiker op de hoogte stelt van een verlenging binnen de initiële reactietermijn van 45 dagen, samen met de reden voor de verlenging;
Als je weigert actie te ondernemen met betrekking tot het verzoek van je gebruiker, breng de gebruiker dan binnen 45 dagen op de hoogte van deze afwijzing, met vermelding van de relevante rechtvaardiging en instructies over hoe ze in beroep kunnen gaan tegen de beslissing;
Als je niet in staat bent om een verzoek te verifiëren aan de hand van commercieel redelijke inspanningen, ben je niet verplicht om aan het verzoek te voldoen en kun je om aanvullende informatie vragen die redelijkerwijs nodig is om de gebruiker en zijn verzoek te verifiëren.
Wij wijzen je erop dat er in de CPA geen aanwijzingen zijn dat er opt-out links nodig zijn waarmee consumenten zich kunnen afmelden voor de verwerking van persoonsgegevens voor bepaalde doeleinden. Echter, als je persoonsgegevens verwerkt voor gericht adverteren of verkoop, ben je verplicht om een duidelijke en opvallende methode te bieden waarmee consumenten hun recht op opt-out kunnen uitoefenen.
Deze methode moet duidelijk en opvallend worden beschreven in de privacyverklaring en moet gemakkelijk toegankelijk zijn buiten de privacyverklaring.
Je moet consumenten ook de mogelijkheid bieden om zich af te melden voor de verwerking van hun persoonsgegevens voor gericht adverteren of verkoop door middel van een opt-out-voorkeurssignaal dat via een platform, technologie of mechanisme wordt verzonden, met toestemming van de consument. Dit mechanisme moet:
andere verwerkingsverantwoordelijken niet oneerlijk benadelen,
een bevestigende en ondubbelzinnige keuze van de consument vereisen,
gemakkelijk te gebruiken zijn,
zoveel mogelijk in overeenstemming zijn met andere soortgelijke mechanismen die door federale of staatswet- en regelgeving worden vereist, en
de verwerkingsverantwoordelijke in staat stellen om te bepalen of de consument een inwoner van Connecticut is en een legitiem opt-out verzoek heeft gedaan.
Volgens de Utah Consumer Privacy Act (UCPA) hebben consumenten het recht om af te zien van de verwerking van hun persoonsgegevens voor gerichte advertentiedoeleinden of de verkoop van hun persoonsgegevens aan derden. De wet geeft echter geen specifieke richtlijnen over hoe je consumenten in staat moet stellen om dit recht uit te oefenen.
Om te voldoen aan de UCPA moet je:
consumenten een middel bieden om een opt-out-verzoek in te dienen; en
om te specificeren welk recht ze willen uitoefenen.
Het is belangrijk op te merken dat onder de UCPA opt-out-links alleen in aanmerking komen met betrekking tot het recht van consumenten om af te zien van de verwerking van gevoelige gegevens.
De TDPSA vereist opt-in-toestemming van de gebruiker in de volgende scenario's:
Opt-in-toestemming voor de verwerking van gevoelige gegevens: Verwerkingsverantwoordelijken mogen geen gevoelige gegevens verwerken zonder de uitdrukkelijke toestemming van de gebruiker. Bij het verwerken van gevoelige persoonsgegevens van kinderen moeten de verwerkingsverantwoordelijken ook voldoen aan de Children's Online Privacy Protection Act van 1998.
Opt-in-toestemming voor het verwerken van gegevens van kinderen: In deze wet wordt onder kinderen verstaan: minderjarigen jonger dan 13 jaar.
Bedrijven kunnen over het algemeen gegevens van consumenten verwerken zonder hun toestemming als de verwerkingsdoeleinden dezelfde zijn als in eerste instantie bekendgemaakt. Voor doeleinden die niet redelijkerwijs noodzakelijk zijn voor en verenigbaar zijn met de doeleinden die oorspronkelijk in het privacybeleid zijn aangegeven, is toestemming van de gebruiker nodig.
Bedrijven moeten toestemming van consumenten krijgen voor de volgende doeleinden:
Verwerking van gevoelige gegevens.
Verwerking van persoonsgegevens van kinderen van 13-16 jaar voor verkoop en gerichte advertenties, als het bedrijf op de hoogte is van hun leeftijd.
Bedrijven moeten consumenten een gemakkelijke methode bieden om hun toestemming in te trekken. Als een consument de toestemming intrekt, moet binnen 45 dagen worden gestopt met de betreffende verwerking van zijn persoonsgegevens.
Opt-out mechanismen
Aangeven of persoonsgegevens worden verkocht of gebruikt voor gerichte advertenties.
Consumenten methoden aanbieden om af te zien van gegevensverkoop, gerichte advertenties en profilering.
Controleerbare opt-out-signalen herkennen van geautoriseerde vertegenwoordigers, inclusief wereldwijde opt-out-mechanismen.
Vóór 1 januari 2025 moeten bedrijven consumenten de mogelijkheid bieden om af te zien van gerichte advertenties en de verkoop van hun persoonsgegevens door middel van opt-out-signalen.
Om persoonsgegevens verder te verwerken dan redelijkerwijs nodig is voor de doeleinden die oorspronkelijk aan consumenten zijn bekendgemaakt, moeten entiteiten actieve, opt-in-toestemming van consumenten verkrijgen. Dezelfde richtlijnen voor toestemming zijn van toepassing op het verzamelen en verwerken van gevoelige informatie.
Toestemming moet ondubbelzinnig en geĂŻnformeerd zijn.
Het toestemmingsmechanisme mag de besluitvorming van consumenten niet versluieren, ondermijnen of belemmeren.
Er moet een gemakkelijke, met het geven van toestemming vergelijkbare manier zijn voor consumenten om hun toestemming op elk moment in te trekken.
Niets doen door de consument houdt geen toestemming in.
Daarnaast is actieve toestemming van een wettelijk vertegenwoordiger vereist voor het verwerken van gegevens over kinderen jonger dan dertien jaar, waaronder voor gerichte advertenties of de verkoop van hun persoonlijke informatie.
Volgens de New Jersey Data Protection Act (NJDPA) moeten bedrijven consumenten een duidelijk en opvallend opt-out-mechanisme bieden voor de verkoop van hun persoonsgegevens en voor de verwerking van persoonsgegevens voor gerichte advertentiedoeleinden. Dit mechanisme moet:
gebruiksvriendelijk en toegankelijk zijn voor consumenten;
een bevestigende en ondubbelzinnige keuze van de consument vereisen;
consistent zijn met andere opt-out-mechanismen die zijn vastgelegd in federale of staatsregelgeving.
Bovendien moeten bedrijven opt-out-verzoeken respecteren en de nodige acties onmiddellijk uitvoeren.
De Delaware Personal Data Privacy Act (DPDPA) verplicht bedrijven om consumenten een opt-out-mogelijkheid te geven voor de verkoop van hun persoonsgegevens of de verwerking van persoonsgegevens voor gerichte advertenties. Het opt-out-mechanisme moet:
gemakkelijk toegankelijk en gebruiksvriendelijk zijn voor consumenten;
duidelijke instructies geven voor het indienen van een opt-out verzoek;
voldoen aan alle toepasselijke federale of staatsvoorschriften met betrekking tot privacyvoorkeuren.
Het mechanisme moet er ook voor zorgen dat bedrijven de identiteit kunnen controleren van de consument die het verzoek indient.
Volgens de New Hampshire Data Protection Act hebben consumenten het recht op een opt-out van de verwerking van hun persoonsgegevens voor verkoop of gerichte advertenties. Om aan deze wet te voldoen, moeten bedrijven:
zorgen voor een duidelijke en gebruiksvriendelijke methode voor consumenten om opt-out-verzoeken in te dienen;
consumenten in staat stellen om verzoeken in te dienen via een gemakkelijk toegankelijke interface;
ervoor zorgen dat opt-out-mechanismen voldoen aan zowel de staats- als de federale privacywetgeving.
De opt-out moet onmiddellijk worden gerespecteerd en consumenten moeten worden geĂŻnformeerd over hoe hun persoonsgegevens zullen worden verwerkt.
De privacywet van Nevada geeft consumenten het recht om af te zien van de verkoop van hun persoonsgegevens. Om aan deze wet te voldoen, moeten bedrijven:
zorgen voor een gemakkelijk toegankelijk mechanisme waarmee consumenten opt-out-verzoeken kunnen indienen;
duidelijk aangeven hoe consumenten hun recht op een opt-out van de verkoop van persoonsgegevens kunnen uitoefenen;
ervoor zorgen dat het opt-out mechanisme zo eenvoudig en duidelijk mogelijk is.
Bedrijven moeten het opt-out-verzoek van consumenten respecteren en hen laten weten dat hun voorkeuren zijn vastgelegd.
De Nebraska Data Privacy Act verplicht bedrijven om consumenten een opt-out-mogelijkheid te geven voor de verkoop van hun persoonsgegevens of de verwerking voor gerichte advertenties. Om te voldoen aan de NDPA moeten bedrijven:
zorgen voor een duidelijke en toegankelijke opt-out-methode voor consumenten;
zorgen dat het mechanisme gemakkelijk te gebruiken is en consistent is met andere federale en staatsregels;
consumenten duidelijk maken hoe hun gegevens worden gebruikt en hoe ze hun opt-out-rechten kunnen uitoefenen.
Zodra een opt-out verzoek is gedaan, moeten bedrijven hier onmiddellijk op reageren, in overeenstemming met de door de consument aangegeven voorkeuren.
Oplossing
Privacy Controls and Cookie Solution voor de CCPA
Informeer consumenten en beheer opt-outs. IAB CCPA Compliance Framework geĂŻntegreerd.
Met onze oplossing kun je het volgende doen:
Geef een melding weer dat je gegevens verzamelt.
Toon een "Mijn persoonsgegevens niet verkopen"-link ("Do Not Sell My Personal Information" of DNSMPI) in de cookiemelding en elders op je website of in je app, waarmee bezoekers zich hiervoor kunnen afmelden.
Detecteer automatisch (ook meerdere) normen op basis van de locatie, en pas ze meteen toe. Met onze oplossing kun je zowel CPRA (voorheen CCPA)- als AVG-conform werken voor dezelfde gebruikers, wanneer dit wettelijk is vereist.
Sla informatie op over gebruikersvoorkeuren (zoals een opt-out) en stuur die door naar andere leveranciers die het IAB CCPA Compliance Framework ondersteunen (zoals Google en AdRoll).
De Privacy Controls and Cookie Solution van iubenda ondersteunt signalen voor
afmeldingsvoorkeuren, zoals GPC
en GPP
conform de CPRA
Zoals hierboven aangegeven verlenen de meeste van deze wetten op staatsniveau, net als de CPRA (voorheen CCPA), de gebruikers het recht om zich af te melden (opt-out). Wanneer de verwerking eerder handmatig gebeurt (en niet met scripts op websites zoals bij direct marketing via e-mail), kan het zijn dat je als bedrijf opt-out-verzoeken handmatig moet verwerken.
Bovendien wordt in wetten als de CPRA voorgeschreven dat je gedurende minimaal 12 maanden na het verzoek van een gebruiker geen contact mag opnemen met die gebruiker. Daarom is het een goed idee om de opt-out-gegevens goed te bewaren, zoals informatie om welke gebruiker het gaat, de datum van het verzoek, en de subcontractanten die op de hoogte moeten worden gebracht.
Oplossing
Consent Database
Onze Consent Database wordt gekoppeld aan je webformulieren, zodat je automatisch informatie over de voorkeuren van je consumenten (zoals opt-out via API) kunt doorsturen naar een centraal beheerd visueel dashboard voor toestemmingen. Je kunt alle relevante gegevens bewaren, zoals de datum en het tijdstip van de opt-out, de versie van je privacybeleid die je aan de gebruiker hebt verstrekt op het moment van de opt-out, en identificatiegegevens, e-mailadressen en zelfs IP-adressen de je kunnen helpen het verzoek te verifiëren.
Onze oplossing voor Register van de gegevensverwerkingsactiviteiten maakt het mogelijk om op een accurate manier de gegevens te bewaren die je nodig hebt om goed te voldoen aan verzoeken van consumenten.
Onze oplossing documenteert:
informatie over de beveiliging, zoals de personen binnen je organisatie die toegang hebben tot gegevens van gebruikers;
geregistreerde onderaannemers die namens jou verwerkingsactiviteiten uitvoeren;
zelf toegevoegde doeleinden voor de verwerking;
methodes waarmee gegevens worden verzameld, en meer.
Een boete van 2.500Â USD per overtreding of 7.500Â USD per overtreding als sprake is van opzet of de persoonlijke informatie van een kind in het geding is.
Een boete van maximaal 7.500Â USD per overtreding.
Hoewel deze boetes misschien laag lijken in vergelijking met andere privacywetten, moet je er rekening mee houden dat deze boetes worden opgelegd per overtreding en per consument. Het bedrag kan dus echt oplopen, zelfs als je maar een paar klanten hebt.
Wat zijn de voornaamste verplichtingen voor eigenaren van websites en apps?
Delen en profileren
Als je gebruikers uit de VS hebt, moet je mogelijk voldoen aan wetten als de CPRA en de VCDPA als het gaat om profilering of het delen van informatie over gebruikers. Dit betekent dat je gebruikers moet informeren dat je hun gegevens op deze manier verwerkt en ze de mogelijkheid moet geven om het delen van gegevens te stoppen (door zich af te melden, ook wel een "opt-out" genoemd).
Toestemming bijhouden
In sommige regio's, zoals in Europa en Brazilië, ben je verplicht om bewijs van toestemmingen te bewaren. Doe je dit niet, dan zijn in veel gevallen de toestemmingen die je verzamelt niet geldig en overtreed je hiermee de wettelijke regels.
Vereisten voor meerdere regio's
Als je gebruikers uit verschillende regio's (bijvoorbeeld Europa en de VS) hebt, moet je mogelijk tegelijkertijd voldoen aan wetgeving uit meerdere regio's, zoals de CPRA in Californië en de AVG in Europa. Dit betekent onder andere dat je regiospecifieke kennisgevingen in je privacydocumenten moet opnemen.
Meer dan 140.000 klanten in meer dan 100 landen vertrouwen op iubenda
“Als je net als ik deel uitmaakt van een dynamisch team en niet steeds je privacybeleid wilt updaten als je iets toevoegt aan je website, dan is iubenda perfect. Het is ook echt betaalbaar en supergemakkelijk in gebruik.”
Reeds 3208550 automatisch bijgewerkte documenten gegenereerd
Veelgestelde vragen
Hoe bereid je je voor op de CPRA?
De CPRA wordt op 1 januari 2023 van kracht en wordt vanaf 1 juli 2023 gehandhaafd.
Bij iubenda houden we zoals altijd de laatste updates in de gaten. We zorgen ervoor dat al onze documenten en producten op tijd worden aangepast zodat je ook aan de nieuwe wetgeving voldoet.
Als je al werkt met procedures voor de CCPA, is het misschien een goed idee om je processen te herzien en deze informatie te lezen:
In de Verenigde Staten wordt nog een wet over gegevensbescherming van kracht: de Virginia Data Protection Act (VCDPA).
De VCDPA treedt in werking op 1 januari 2023.
Als je organisatie onder het toepassingsgebied van de VCDPA valt, moet je op zoek gaan naar compliance-oplossingen die betrouwbaar zijn en opgesteld zijn door juristen.
Als je nog geen oplossing hebt, begin dan meteen met het instellen van alles wat je nodig hebt. We stellen je op de hoogte wanneer de betreffende bepalingen beschikbaar zijn!
Of volg ons volgende webinar voor een overzicht van de juridische vereisten en een kans om direct vragen te stellen
Al onze producten zijn WCAG-conform op het hoogste niveau (AAA)
Een omvattende oplossing om je sites en apps compliant te maken
Compliance voor websites en apps
Privacybeleid- en Cookiebeleid-generator
Schrijf in een handomdraai je privacy- en cookiebeleid uit.
Kies uit meer dan 2000 bepalingen in tot 27 talen, die automatisch worden bijgewerkt wanneer wetgeving wijzigt. Met onze generator kun je in een paar minuten een juridisch verantwoord document opstellen en deze gemakkelijk integreren met je website of app.
Beheer toestemmingsvoorkeuren voor ePrivacy, AVG, CCPRA en LGPD. GeĂŻntegreerd met het TCF en CCPA Compliance Framework van het IAB.
Met onze oplossing kun je een volledig aanpasbare cookiebanner plaatsen, toestemming voor cookies verzamelen, voorafgaande blokkering implementeren, advertentievoorkeuren instellen en meer.
Verzamel AVG- en LGPD-conforme toestemmingen, houd opt-ins en CCPA opt-outs bij via je webformulieren.
Onze oplossing integreert naadloos met de formulieren waarmee je toestemming verzamelt, synchroniseert met je juridische documenten en heeft een gebruiksvriendelijk dashboard waarin je alles kunt bijhouden.
Documenteer alle gegevensverwerking binnen je organisatie.
Om te kunnen voldoen aan de privacywetgeving, met name de AVG, moet je als bedrijf documenteren hoe je gebruikersgegevens verzamelt, gebruikt en opslaat. Met onze oplossing kun je alle gegevensverwerking binnen je organisatie gemakkelijk documenteren.
